NRI Secure SANS NewsBites 日本版

Vol.2 No.34 2007年8月29日発行

**********************************************************************
NRI Secure Security Information
(SANS NewsBites、@RISKサマリー版)
Vol.2 No.34 2007年8月29日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┃    The Trusted Source for Computer Security Training
┃           SANS Tokyo 2007 Autumn
┃          ~~~~~~~~~~~~~~~~~~~~~~~~
┃         2007年11月5日~10日 開催決定!
┃          ┏━━━━━━━━━━━━━━━━━━━━
┃          ┃早期割引き申込み受付中!(10月29日まで)
┃          ┃    詳細はこちら
┃          ┗━━━↓↓↓↓↓↓↓↓━━━━━━━━━
┃          http://www.event-information.jp/sanstokyo07/

┃ !!フォレンジックの上級コース 世界的第一人者 Rob Lee来日!!
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
渡航費や宿泊費なしで、SANSの技術・スキルを身につける絶好のチャンス。
ぜひ今からご計画を!

■■SANS NewsBites Vol.9 No.65-66(原版:2007年8月18日、8月22日)

◆IT請負企業 セキュリティ侵害事件後に閉業(2007.8.15)

Webサイトデザイン、およびその保守管理サービスを40から60の病院に提供し
たVerus Inc.は、少なくともの5つの病院で発生したセキュリティ侵害に責任
があるとされ、閉業に追い込まれることとなった。侵害で影響を受けた病院が、
サービス契約を終了させたほか、投資家らが資金を撤収したため、閉業せざる
をえなかったようだ。一連の侵害事件は、Verusがメンテナンス目的でファイ
アウォールをオフにし、その後オンにし忘れたために起きたと見られている。
http://www.darkreading.com/document.asp?doc_id=131712&print=true

【編集者メモ1】(Pescatore)
たぶんVerusはUbuntu Webサイトを構築したのだろう。とにかく、顧客がつい
に反発したのは喜ばしいことだ。
【編集者メモ2】(Schultz)
Verusにとっては残念なことであるが、今後数年にわたり、セキュリティ関連
事業の閉鎖例として、このニュースは痛烈な印象を与えるものになるだろう。
────────────────

◆報告書:米国税庁 納税者データ取り扱いにまだ慎重さが不足(2007.8.15)

米財務省税務管理監査官(TIGTA: Treasury Inspector General for Tax Admi-
nistration)によると、米国の納税者情報は、リスクにさらされている状態に
あるという。国税庁(IRS)のマネージャおよび職員は、いまだにセキュリティ
ポリシーとその手順に従っていなかったようだ。IRSは、2003年から2006年に
かけて、少なくともコンピュータ7台が行方不明になっているにもかかわらず、
職員がノートパソコンにある個人情報を暗号化しておらず、メールのポリシー
さえも無視していた。また、システム管理も厳格化されておらず、デフォルト
のパスワードもそのまま変更されていなかった。この報告書は、IRSの上級職
員に対し、「マネージャやスタッフがセキュリティを軽んじる行動をとった場
合、その責任をとらせる」ことを求めている。
http://www.fcw.com/article103499-08-15-07-Web&printLayout

【編集者メモ】(Liston)
「IRSの上級職員は、マネージャやスタッフがセキュリティを軽んじる行動を
とった場合、その責任をとらせる」よう求める通達をいちいち出さなければな
らないと、この報告書の作成者が考えざるをえないことに、少し腹が立ちはし
ないか?
────────────────

◆ロシアの音楽サイトに対する訴え 棄却される(2007.8.15)

Alofmp3.comのWebサイトの元所有者であるDenis Kvasovは、楽曲1曲0.1ドル、
およびアルバムを1ドル以上でダウンロード販売していたため、著作権法違反
で訴えられていた。しかし、このほどロシア法廷は、問題のサイト自体はロシ
アの法に違反していないという論拠をもとに、この訴えを棄却し、Kvasovを無
罪放免にした。裁判では、Kvasovが権利金を回収して著作権所有者に分配する
ロシアの組織、ロシアマルチメディアおよびインターネネット協会(ROMS: Ro-
ssian Multimedia and Internet Society)に対し、売上げの15%をコミッショ
ンとして支払っていたことが明らかになった。しかし、Allofmps.comは楽曲の
ダウンロードサービスを法外な低価格で提供していたため、音楽企業からの怒
りを買った。結局、グローバル展開をしているクレジットカード会社が、顧客
が同サイトからの楽曲を購入するのを阻止したため、サイトは最終的に閉鎖に
至っている。

【編集者メモ】(Schultz)
この判決は、音楽業界にとってだけでなく、ロシアにとっても侮辱にほかなら
ない。せっかくWTO基準に準拠しようと著作権侵害者の取り締まり活動を積み
上げてきたところだというのに……。
http://www.cnn.com/2007/TECH/biztech/08/15/russia.site.reut/index.html
http://www.vnunet.com/vnunet/news/2196801/russia-rules-favour-allofmp3
────────────────

◆TJX社の報告:損失額1億5,000万ドルを上回る(2007.8.11-14)

TJX社において、今年はじめに大規模なセキュリティ侵害事件が発覚した。同
社の報告によれば、その影響で生じた損失は1億5,000万ドルを上回るという。
この侵害事件は、クレジットカードやデビットカード情報などの顧客記録
4,560万件が、18ヶ月もの間盗まれ続けていたというもの。TJX社の社長および
CEOのCarol Meyrowitz氏は、社内システムのセキュリティの改善措置はすでに
とったという。しかしTJX社外部からは、同社はただいま訴訟裁判中でもある
ため、その費用も加算すると、損失額はさらに膨れ上がるだろうとの声も聞か
れる。TJX社がこのような損失額を見積もったという事実は、他組織のセキュ
リティディレクターらにとって、「サイバーセキュリティへの資金投入の承認
を獲得する」うえでの強力なサポートになりうるだろう。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=300994&source=rss_topic17
http://www.forbes.com/markets/2007/08/14/tjx-retail-update-markets-equity-cx_jl_0814markets31.html
http://www.informationweek.com/shared/printableArticle.jhtml?articleID=201400171

【編集者メモ】(Northcutt)
私に言わせれば、この見積額はまだ低いように思う。時が経てば、もしくは公
認会計士(CPA)が会計監査を終えれば、実際の金額が明らかになるだろう。そ
の他の意見は以下のとおり:
2007年5月 - 2,900万:
http://www.eweek.com/article2/0,1895,2130594,00.asp
2007年5月 -- 10億:
http://msmvps.com/blogs/harrywaldron/archive/2007/05/09/wep-security-pringles-can-1-billion-tjx-loss.aspx
2007年8月 - 1憶6,800万:
http://www.eweek.com/article2/0,1759,2171101,00.asp
【編集者メモ2】(Schultz)
TJX社の損失は、まさに、適切なセキュリティの必要性を強く訴えることので
きる事業例である。1億5,000万ドル以上の損失は、もはや無視できる金額では
ない。
【編集者メモ3】(Honan)
このストーリーと次のCertegy社のストーリーは、CSOが今後胸にとどめておく
べき事例と言えよう。これらの事例を持ち出せば、「セキュリティの強化には
資金がかかるが、軟弱で効果の薄いセキュリティ状態のまま放置しておけば、
後々もっと費用がかさむ」ことを、経営層に対して強くアピールできる。
────────────────

◆Certegy社 データ盗難で集団訴訟に(2007.8.16)

Certegy Check Services社とその親会社Fidelity National Information
Services Inc.は、顧客データを保護するセキュリティ措置を十分にとってい
なかったとし、集団訴訟を起こされている。Certegy社は、この7月元社員が顧
客記録にアクセスして情報を盗み出し、マーケティング会社に売っていたこと
を認めた。侵害された記録の件数は当初230件とされていたが、調査したとこ
ろ、850万件近いことがわかった。この集団訴訟で同社は、過失、プライバシー
侵害、暗黙契約違反について追及されている。この訴訟は、通常以上の量のDM
が届くようになった直後にCertegy社から侵害通知を受け取った個人によって、
始められた。
http://www.bizjournals.com/tampabay/stories/2007/08/13/daily45.html

【編集者メモ】(Pesctaore)
集団訴訟がなかったとしても、侵害された情報1件につき6ドル(例えば、TJXな
どの大きな侵害)から、1件につき125ドル以上(無数の企業で起きている小さ
な侵害)がかかる。データ保護にかかる費用は、侵害発生後の処理費用に比べ
て相変わらず少ない。つまり、このストーリーにおける過失への訴えは、非の
打ちようがない。
────────────────

◆男性 身元詐称詐欺で7年の懲役(2007.8.20)

Jacob Vincent Green-Bresslerは、電子的に情報を盗んだ者から機密個人情報
を買い取っていたため、7年の懲役に処されることになった。Green-Bressler
は、買い取った情報を使用して、偽クレジットカードを作成し、ATMから100万
ドル以上の現金を引き出していた。同人は、この3月2つの重罪で有罪を認めて
いる。同人には懲役のほか、犠牲者に対する損害賠償が命ぜられており、所有
物の没収、3年の保護観察期間も科せられる。
http://www.vnunet.com/vnunet/news/2196943/seven-stretch-identity-fraud
http://www.usdoj.gov/usao/az/press_releases/2007/2007-182(Green-Bressler).pdf

【編集者メモ】(Schmidt)
今までは、個人情報を盗んでいる者についての捜査に焦点があてられがちであ
った。しかし、このような情報のバイヤーに有罪判決が下り、実刑に処せられ
るようになり、盗難情報を不正取引しようとしている者も二の足を踏むように
なれば、願ってもないことだ。

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
        (原版:2007年8月21 Vol.6 No.34)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成され、12社のセキュリティ管理者で構成される「セキュ
リティマネージャ委員会」の具体的アクションも掲載されています。組織のシ
ステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                 件数(#は本稿掲載番号)
======================================================================
Windows                     7 (#1, #2, #3, #4)
Microsoft Office                1 (#7)
その他のMicrosoft製品              7
サードパーティWindowsアプリ          10 (#5, #6)
Mac OS                     1
Linux                      1
Aix                       3
クロスプラットフォーム             12(#8, #9)
Webアプリ…XSS                 3
Webアプリ…SQLインジェクション         3
Webアプリケーション              17
ネットワークデバイス              3
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

今週は、今までにないくらい際立った重大な脆弱性が多かった。Internet
ExplorerなどのMicrosoft製品にある脆弱性や、Pegasus Mercury Mailにある
脆弱性が、最も深刻なものだった。また、Solaris、Max OS-X、Windowsシステ
ム上のJAVA runtime environmentにも、重要な脆弱性が発見されている。

1.危険度【重大】:Microsoft XMLのコアサービスにメモリ崩壊脆弱性(MS07-042)

<影響のある製品>
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
Microsoft Windows Vista
Microsoft Office 2003/2007

<詳細>
Microsoft XMのコアサービスは、Microsoft Internet Explorer、Microsoft
OfficeなどのMicrosoft Windows上のアプリケーション用にeXtensible Markup
Language (XML)解析サービスを提供する。このサービスによってエクスポー
トされるメソッドに欠陥があるため、メモリ崩壊の脆弱性が引き起こされてし
まう。このメモリ崩壊の悪用が実現すると、現在のユーザー権限で任意のコー
ドを実行できるようになってしまう。Webページのスクリプトを経由すれば、
脆弱なコンポーネントにたどり着くことができてしまうため、悪意あるWebペ
ージであれば、この脆弱性を悪用できるようになってしまう。この脆弱性の概
念実証コードや、技術的詳細が公表されている。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms07-042.mspx
Zero Dayイニシアチブアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-07-048.html
iDefenseのアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=576
概念実証コード
http://downloads.securityfocus.com/vulnerabilities/exploits/25031.js
製品のホームページ
http://msdn2.microsoft.com/en-us/xml/default.aspx
XMLに関するWikipediaの説明
http://en.wikipedia.org/wiki/XML
SecurityFocus BID
http://www.securityfocus.com/bid/25301
────────────────

2.危険度【重大】:MicrosoftのOLEオートメーションにリモートで実行可能な
  脆弱性(MS07-043)

<影響のある製品>
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
Mac 用Microsoft Office 2004
Microsoft Visual Basicのバージョン6.0

<詳細>
MicrosoftオブジェクトリンキングおよびOLE(Object Linking and Embedding)
は、アプリケーション同士でデータ共有し、他のアプリケーションをコント
ロールできるようにするプロトコルである。しかし、OLEスクリプト処理に欠
陥があるため、メモリ崩壊脆弱性が引き起こされる。このメモリ崩壊の悪用が
実現すると、現在のユーザー権限で任意のコードを実行できるようになってし
まう。Webページのスクリプトを経由すれば、脆弱なコンポーネントにたどり
着くことができてしまうため、悪意あるWebページであれば、この脆弱性を悪
用できるようになってしまう。この脆弱性の概念実証コードや、技術的詳細が
公表されている。

<現状>
Microsoftはこの問題を認めており、更新もリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms07-043.mspx
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-07-048.html
iDefenseのアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=576
OLEに関してのWikipediaの記事
http://en.wikipedia.org/wiki/Object_Linking_and_Embedding
SecurityFocus BID
http://www.securityfocus.com/bid/25282
────────────────

3.危険度【重大】:Microsoft Internet Explorerに複数の脆弱性(MS07-045)

<影響のある製品>
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
Microsoft Windows Vista
Microsoft Internet Explorerのバージョン6および7

<詳細>
Microsoft Internet Explorerには、複数の脆弱性がある。第一に、Webページ
用のスタイル情報を提供するときに使用するCSSを正しく解析できないため、
メモリ崩壊脆弱性が引き起こされる。スタイルシートは、それを使用するWeb
サイトを訪問すると、IEが自動的にダウンロードするようになっている。また、
IEによってインスタンス化されるようになっていないActiveXコンポーネント
の中にも、実際にはインスタンス化されてしまうものもあるようだ。悪意ある
Webサイトがこれらのコンポーネントをインスタンス化すれば、メモリ崩壊脆
弱性が生じる。また、これらの脆弱性の悪用が実現すれば、現在のユーザー権
限で任意のコードを実行できるようになってしまう。

<現状>
Microsoftはこの問題を認めており、更新もリリースしている。Microsoftの
"kill bit"機能を:
8B217746-717D-11CE-AB5B-D41203C10000,
8B217752-717D-11CE-AB5B-D41203C10000,
8B21775E-717D-11CE-AB5B-D41203C10000,
0DDF3B5C-E692-11D1-AB06-00AA00BDD685
に設定して問題のコントロールを無効にすれば、脆弱性の影響を軽減できる。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms07-045.mspx
Cascading Style Sheetに関してのWikipediaの説明
http://en.wikipedia.org/wiki/Cascading_Style_Sheets
Microsoft知識ベースの記事 ("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
SecurityFocus BIDs
http://www.securityfocus.com/bid/25288
http://www.securityfocus.com/bid/25295
http://www.securityfocus.com/bid/25289
────────────────

4.危険度【重大】:Microsoftのベクトルマークアップ言語(VML)にリモート
  のコード実行脆弱性(MS07-050)

<影響のある製品>
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
Microsoft Windows Vista
Microsoft Internet Explorerバージョン5および6

<詳細>
ベクトルマークアップ言語(VML)は、ベクトル画像を描くのに使用するXMLベー
スのマークアップ言語である。これは、Microsoft Internet Explorerによっ
てサポートされており、Webサイトにベクトル画像を表示するときに用いられ
る。しかし、IEのVML文書が参照する圧縮画像データ処理に欠陥がある。Webペ
ージが細工されると、この脆弱性が悪用され、現在のユーザー権限で任意のコ
ードを実行できるようになってしまう。VMLデータは、IEでは自動的にレンダ
リングされるようになっているので注意が必要だ。この脆弱性の概念実証コー
ドや技術的詳細が、部分的ではあるが公表されている。

<現状>
Microsoftはこの問題を認めており、更新もリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms07-050.mspx
eEyeのセキュリティアドバイザリ
http://www.securityfocus.com/archive/1/476498
Vector Markup LanguageについてのWikipediaの説明
http://en.wikipedia.org/wiki/Vector_Markup_Language
SecurityFocus BID
http://www.securityfocus.com/bid/25310/
────────────────

5.危険度【重大】:Pegasus Mercury Mail Transport SystemのSMTPにバッフ
  ァオーバーフローの脆弱性

<影響のある製品>
Pegasus Mercury Mail Transport Systemの4.51までのバージョン

<詳細>
Pegasus Mercury Mail Transport Systemは、無料のメールソリューションと
して広範囲で使用されている。しかし、そのSimple Mail Transport Protoco
l(SMTP)コンポーネントのCRAM-MD5認証リクエスト処理には欠陥がある。CRAM
-MD5認証リクエストが過剰に長くなるように細工されると、この欠陥を引き起
こし、バッファオーバーフローの脆弱性を引き起こしてしまう。このバッファ
オーバーフローの悪用が実現すると、脆弱なプロセス権限で任意のコードを実
行できるようになってしまう。この脆弱性の概念実証コードと技術的詳細が、
部分的ではあるが公表されている。認証リクエスト処理内に欠陥があるものの、
この脆弱性を悪用するのに認証は必要ない。

<現状>
Pegasusはこの問題を認めていないため、更新もリリースしていない。

<参考>
eliteb0yによる掲示
http://www.security-express.com/archives/fulldisclosure/2007-08/0341.html
概念実証コード
http://downloads.securityfocus.com/vulnerabilities/exploits/mercury-cram-md5-poc.pl
CRAM-MD5認証に関するWikipediaの記事
http://en.wikipedia.org/wiki/CRAM-MD5
製品のホームページ
http://www.pmail.com/overviews/ovw_mercury.htm
SecurityFocus BID
http://www.securityfocus.com/bid/25357
────────────────

6.危険度【高】:Yahoo! Instant MessengerのVideo Conferencingに脆弱性

<影響のある製品>
Yahoo! Instant Messenger 8.1.0.413 までのバージョン

<詳細>
Yahoo! Instant Messengerアプリケーションを使うと、ビデオ会議ができるよ
うになる。ビデオ会議への招待を受け入れれば、リモートユーザーから、JPEG
-2000のビデオストリームを受け入れることになる。しかし、Yahoo! Instant
Messengerアプリケーションは、不正形式のJPEG-2000データを正しく処理でき
ない。ビデオストリームが細工されると、このアプリケーションにバッファオ
ーバーフローの脆弱性が引き起こされる。この脆弱性の悪用が実現すると、現
在のユーザー権限で、任意のコードを実行できるようになってしまう。ビデオ
会議の招待を受け入れない限り、脆弱にはならない。

<現状>
Yahoo!はこの問題を認めていないため、更新もリリースされていない。TCP5100
ポートへのアクセスをネットワーク境界でブロックすれば、この脆弱性の影響
を軽減できる。

<参考>
McAfee Avert Labのブログ記事
http://www.avertlabs.com/research/blog/index.php/2007/08/14/potential-yahoo-messenger-zero-day/
http://www.avertlabs.com/research/blog/index.php/2007/08/15/more-on-the-yahoo-messenger-webcam-0day/
JPEG 2000に関するWikipediaの記事
http://en.wikipedia.org/wiki/JPEG_2000
製品のホームページ
http://messenger.yahoo.com
SecurityFocus BID
まだ公表されておらず
────────────────

7.危険度【高】:Microsoft Excelのファイル解析にリモートのコード実行脆
  弱性(MS07-044)

<影響のある製品>
Microsoft Office 2000
Microsoft Office XP
Microsoft Office 2003
Mac用Microsoft Office 2004

<現状>
Microsoft Excelの表ファイル解析には欠陥がある。表ファイルが細工される
と、この脆弱性が悪用され、現在のユーザー権限で任意のコードが実行されて
しまう。Excel Workspaceファイルのみが影響を受けると考えられる。この脆
弱性の技術的詳細が部分的に公表されている。Excelファイルは、上記より後
のバージョンでは最初にプロンプトすることなしに開かないようになっている。

<現状>
Microsoftはこの問題を認めており、更新もリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms07-044.mspx
Secuniaのアドバイザリ
http://secunia.com/advisories/26145/
SecurityFocus BID
http://www.securityfocus.com/bid/25280
────────────────

8.危険度【高】:Opera Web Browserの JavaScriptにリモートのコード実行の
  脆弱性

<影響のある製品>
Opera Web Browser 9.23までのバージョン

<詳細>
Opera Web Browser(一般的にOperaと呼ばれる)は、マルチプラットフォームの
Webブラウザとして広範囲で使用されている。しかし、OperaのJavaScriptスク
リプト処理には脆弱性がある。このスクリプトが含まれるWebページが細工さ
れると、この脆弱性が引き起こされ、現在のユーザー権限で任意コードを実行
されてしまう。脆弱性の特定や悪用までのステップなどの技術的詳細が、いく
つか公表されている。Operaは、一般的にモバイルデバイスや組込みデバイス
に実装されているが、デスクトップ環境でもよく使用されている。

<現状>
Operaはこの問題を認めており、更新もリリースしている。

<参考>
Operaのセキュリティアドバイザリ
http://www.opera.com/support/search/view/865/
Operaのホームページ
http://www.opera.com
SecurityFocus BID
http://www.securityfocus.com/bid/25331
────────────────

9.危険度【重大】:Sun Java Runtime Environmentのフォント処理にオーバー
  フローの脆弱性

<影響のある製品>
Sun Java Runtime Environment 1.5.0_10までのバージョン、およびバージョ
ン1.4.2_15

<詳細>
Sun Java Runtime Environmentのフォントファイル処理には欠陥がある。ファ
イル、リモート起動されたJavaアプレットやアプリケーションに包含されてい
るフォントファイルが細工されると、この欠陥が悪用され、バッファオーバー
フローが引き起こされてしまう。このバッファオーバーフローの悪用が実現す
ると、現在のユーザー権限で任意のコードを実行できるようになってしまう。
アプレットは、Webページ上で自動的にロードされてしまうことが度々あるの
で、注意が必要だ。Sun Java Runtime Environmentは、Apple Mac OS X、およ
びその他のいくつかのOSにデフォルトでインストールされている。また、Windows
にインストールされている場合もある。

<現状>
Sunはこの問題を認めており、更新もリリースしている。

<参考>
Sunのセキュリティアドバイザリ
http://sunsolve.sun.com/search/document.do?assetkey=1-26-103024-1
Sun Javaのホームページ
http://java.sun.com
SecurityFocus BID
http://www.securityfocus.com/bid/25340

=======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望する方は下記までご連絡ください。

このメールは、SANS関連のイベントに参加された方、RSA Conference等の弊社
講演枠に登録された方、弊社からの情報を希望された方を中心に配信していま
す。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jpまで返信してください。